Bisakah Wireshark membaca data yang dikirim ke / dari komputer lain?

Katakanlah WireShark diinstal pada komputer A. Dan katakanlah saya sedang melihat video Youtube di komputer B.

Bisakah WireShark melihat apa yang dilakukan komputer B?

Secara umum, tidak, Wireshark tidak dapat merasakan lalu lintas itu. ErikA menjelaskan alasannya.

Namun ... jika jaringan Anda mendukungnya, jaringan itu sendiri dapat menunjukkan Komputer A lalu lintas untuk Komputer B, dan dari sana Wireshark dapat mengambilnya. Ada beberapa cara untuk mendapatkannya di sana.

• Same Switch, metode yang baik Jika kedua komputer berada pada switch jaringan yang sama, dan switch dikelola, mungkin untuk mengkonfigurasi untuk span / mirror / monitor (istilah berubah dengan vendor) lalu lintas untuk port Computer B ke port Computer A. . Itu akan memungkinkan Wireshark di Komputer A untuk melihat lalu lintas.
• Same Switch, metode jahat Jika kedua komputer berada di switch jaringan yang sama, dan switch tidak terlalu aman, dimungkinkan untuk melakukan apa yang dikenal sebagai serangan Spoofing ARP. Komputer A mengeluarkan paket ARP yang memberi tahu subnet bahwa itu sebenarnya alamat gateway, walaupun sebenarnya tidak. Klien yang menerima paket ARP menulis ulang IP mereka: Tabel pencarian Alamat MAC dengan alamat yang buruk di dalamnya, dan melanjutkan untuk mengirim semua lalu lintas subnet ke Komputer B. Agar ini berfungsi, Komputer B kemudian harus mengirimnya ke gerbang nyata. Ini tidak berfungsi pada semua switch, dan beberapa tumpukan jaringan menolak hal semacam ini.
• Subnet yang sama, metode jahat Jika router tidak terlalu aman, serangan Spoofing ARP akan bekerja untuk seluruh subnet!
• Berbeda Subnet seluruhnya Jika Komputer B berada pada subnet yang sama sekali berbeda, satu-satunya cara ini bekerja adalah jika inti router mendukung solusi pemantauan jarak jauh. Sekali lagi, namanya berbeda-beda, dan topologi jaringan harus tepat. Tapi itu mungkin.

ARP Spoofing adalah satu-satunya cara bagi komputer yang tidak memiliki hak jaringan khusus untuk mengendus lalu lintas node jaringan lain, dan itu tergantung pada apakah switch jaringan membela terhadap tindakan semacam itu atau tidak. Cukup menginstal Wireshark tidak cukup, beberapa tindakan lain perlu diambil. Kalau tidak, itu hanya akan terjadi ketika jaringan secara eksplisit dikonfigurasi untuk membiarkannya terjadi.

Jika Anda berada di jaringan yang diaktifkan (yang sangat mungkin), dan kecuali komputer A berfungsi sebagai rute default untuk komputer B (tidak mungkin), maka tidak, komputer A tidak akan dapat melihat paket yang ditujukan untuk komputer B.

Seperti yang disinggung oleh Farseeker, Anda dulu bisa. Sepuluh tahun yang lalu, banyak jaringan menggunakan hub, yang seperti switch tetapi bodoh, karena mereka mencerminkan setiap paket ke setiap port alih-alih mencari tahu ke mana setiap paket harus pergi dan mengirimkannya hanya di sana. Sebelumnya, beberapa jaringan menggunakan coaxial ethernet dengan kabel yang sama (dan tidak ada hub atau switch) yang disiarkan dan didengarkan oleh setiap stasiun.

Dalam kedua situasi di atas, mesin dengan Ethereal (nama lama untuk Wireshark) memang bisa mengintip seluruh jaringan.

Meskipun situasi ini berlaku untuk jaringan yang sangat sedikit hari ini, saya menyebutkannya untuk konteks dan untuk memahami mengapa gagasan menggunakan Wireshark untuk mengintip orang lain masih di kepala banyak orang.

Pete

Jika kita tetap menyebutkan metode jahat: dengan beberapa saklar yang tidak dikelola yang berlebihan, tabel CAM seharusnya dapat berfungsi, dan didokumentasikan di suatu tempat di tcpdump docs IIRC.